Понимание роли PKI
Для получения дополнительной информации о шифровании и криптографии с открытым ключом см. главу 7 в моей книге Scene of the Cybercrime (опубликовано Syngress Media), www.sceneofthecybercrime.com.
Что такое PKI?
Во-первых, давайте проясним, чем PKI не является. PKI — это не метод аутентификации; скорее это инфраструктура, использующая цифровые сертификаты в качестве механизма аутентификации и созданная для лучшего управления сертификатами и связанными с ними ключами. Цифровой сертификат сам по себе является способом надежной идентификации пользователя или компьютера, утверждающего, что он является владельцем определенного открытого ключа.
Шифрование с открытым ключом, также называемое асимметричным шифрованием, популярно, поскольку оно более безопасно, чем шифрование с секретным ключом (симметричное). Два математически связанных ключа, открытый ключ и закрытый ключ, работают вместе, один используется для шифрования, а другой для расшифровки (какой из них используется для какой цели, зависит от того, является ли ваша цель конфиденциальностью данных или аутентификацией отправителя).. Открытый ключ становится известен всем, кто хочет участвовать в зашифрованном общении с владельцем пары ключей. Закрытый ключ никогда не нужно никому передавать; это известно только его владельцу. Это делает систему более безопасной, чем метод с секретным ключом, в котором один и тот же ключ используется для шифрования и дешифрования и, следовательно, должен использоваться совместно двумя взаимодействующими сторонами.
Проблема с шифрованием с открытым ключом заключается в том, что трудно узнать, действительно ли открытый ключ принадлежит человеку, которому, как утверждается, он принадлежит. Пользователь может объявить, что открытый ключ принадлежит Джо Джонсу, хотя на самом деле это не так; затем этот пользователь мог перехватывать сообщения, предназначенные для Джо Джонса, и расшифровывать их с помощью закрытого ключа, принадлежащего паре ключей. Таким образом, был необходим метод проверки личности владельца пары ключей.
Вот где на помощь приходят цифровые сертификаты. Доверенная третья сторона, называемая центром сертификации, выдает сертификат, связанный с парой ключей, пользователю (или компьютеру), личность которого уже проверена. Тогда другие пользователи и компьютеры могут быть уверены в подлинности личности владельца ключа. Это работает примерно так же, как выдача удостоверений личности государственными органами или работодателями. Эмитент уже проверил личность лица, которому выдана карта, поэтому другие (например, магазины, которым держатель карты выписывает чеки) зависят от подтверждения эмитентом того, что держатель карты действительно является тем, кем он себя называет. быть.
Цифровые сертификаты содержат информацию о владельце, открытом ключе держателя, дате истечения срока действия и цифровой подписи издателя (центра сертификации). Управление цифровыми сертификатами и связанными с ними ключами является сложной задачей, поэтому PKI была создана, чтобы обеспечить основу для выдачи, обновления, отзыва сертификатов и управления ими. PKI промышленного стандарта и их сертификаты основаны на спецификациях X.509 ISO.
Из чего состоит PKI?
PKI может быть реализована внутри организации для использования пользователями в ее сети, или это может быть коммерческая организация, которая, например, выдает сертификаты пользователям Интернета. В любом случае PKI состоит из следующих компонентов:
- Как минимум один центр сертификации (ЦС) для выдачи сертификатов.
- Политики, регулирующие работу PKI.
- Сами цифровые сертификаты.
- Приложения, написанные для использования PKI.
Центр сертификации
Центр сертификации является основным компонентом PKI. Большинство PKI будут иметь более одного ЦС. ЦС — это просто сервер, на котором работает какое-то программное обеспечение службы сертификации. Примером могут служить службы сертификатов Microsoft Windows 2000, которые входят в состав серверных операционных систем Windows 2000. PKI обычно имеет корневой ЦС, который находится на вершине иерархии ЦС. Этот ЦС выдает сертификаты другим ЦС, но передовой опыт требует, чтобы он не выдавал сертификаты непосредственно пользователям. ЦС более низкого уровня, называемые подчиненными ЦС, выполняют повседневную задачу по выдаче сертификатов пользователей и компьютеров. Корневой центр сертификации является наиболее надежным, поэтому его следует хранить в очень безопасном физическом месте или даже отключать, когда он не используется. Необходимо регулярно создавать резервные копии всех ЦС, поскольку в них хранятся закрытые ключи, лежащие в основе системы аутентификации PKI.
Службы сертификации Microsoft также проводят различие между корпоративными ЦС (которым требуется Active Directory и поэтому могут функционировать только в домене Windows 2000 или 2003) и автономными ЦС, которые могут использовать базу данных Active Directory, но не требуют ее.
Администраторы могут назначать политики ЦС, которые будут использоваться при проверке личности пользователей и компьютеров, запрашивающих сертификаты. В домене Microsoft пользователи могут запрашивать сертификаты для различных целей (например, для защиты электронной почты), войдя на веб-страницу сервера сертификатов или добавив оснастку «Сертификаты» на MMC (для запроса сертификата используется только веб-страница). из автономного ЦС). В некоторых случаях сертификаты запрашиваются системой без участия пользователя; например, при первой попытке пользователя зашифровать данные на диске с помощью EFS сертификат EFS прозрачно запрашивается и выдается.
Политики PKI
Политики PKI излагают правила, регулирующие безопасность ключей, процесс выдачи, обновления и отзыва сертификатов, срок действия сертификатов по умолчанию и т. д. Общедоступные (коммерческие) PKI, такие как VeriSign, должны публиковать документ, называемый Заявлением о практике сертификации (CPS). CPS решает такие вопросы, как создание и хранение ключей, выдача и отзыв сертификатов и т. д. Частные PKI (которые выполняются внутри компании или организации) также должны устанавливать четкие политики, чтобы убедиться, что метод проверки личности владельцев сертификатов является надежным, чтобы установить, кто может отзывать сертификаты, как следует распределять списки отзыва, как часто архивировать сертификаты и определять приложения, которые могут и не могут использовать сертификаты.
Выдача, управление и отзыв сертификатов
Процесс, связанный с выпуском сертификатов и управлением ими, сложен. Когда запрос сертификата делается в ЦС, запрашивающая сторона должна создать и подписать пару ключей, после чего открытый ключ отправляется в ЦС. Центр сертификации должен проверить подпись и удостоверение на основе своих политик. Когда это сделано, ЦС подписывает открытый ключ пользователя закрытым ключом ЦС. Это создает сертификат, который затем отправляется обратно запрашивающей стороне. После этого сертификат может быть опубликован. Сертификаты могут быть выпущены для различных целей, включая смарт-карты, IPSec, EFS, аутентификацию при входе в систему, веб-аутентификацию, электронную почту и многое другое.
Сертификаты обычно хранятся на компьютере запрашивающей стороны, но их можно перемещать (экспортировать) на другой компьютер. Вы также можете экспортировать сертификат для резервного копирования, а затем импортировать его для восстановления.
Существует множество причин, по которым может потребоваться отзыв сертификата. Если ключ скомпрометирован или пользователь покидает организацию, вы захотите отозвать сертификат(ы). Другими словами, вы не хотите, чтобы другие пользователи, компьютеры и приложения больше полагались на этот сертификат, поэтому вы должны сообщить им, что сертификат больше не годится. Это делается путем публикации и распространения списка отзыва сертификатов (CRL). Вы можете думать об этом как о списке отозванных кредитных карт, которые компании-эмитенты кредитных карт распространяли среди продавцов в прошлом. Когда вы предъявите кредитную карту для оплаты, продавец проверит вашу карту по списку, чтобы убедиться, что она не была отозвана. Сейчас процесс обычно компьютеризирован; вводится номер карты, и компьютер сверяет его с базой данных отозванных карт, которая обновляется автоматически.
Приложения
Приложения должны поддерживать PKI, чтобы работать с сертификатами и использовать их для аутентификации. Веб-браузеры, почтовые клиенты и многие приложения, встроенные в операционные системы Windows 2000/XP, такие как EFS и IPSec, поддерживают PKI, как и сами операционные системы.
Резюме
Инфраструктура открытых ключей представляет собой основу для использования цифровых сертификатов и связанных с ними ключей для проверки подлинности пользователей и компьютеров перед другими пользователями, компьютерами и приложениями. PKI являются важными элементами безопасности сети и Интернета, поскольку многие виды связи, такие как деловые транзакции и транзакции электронной коммерции, зависят от надежного метода идентификации сторон транзакции.
PKI сама по себе не является методом аутентификации, но представляет собой систему для выдачи, управления и отзыва цифровых сертификатов и пар ключей, которые используются для аутентификации пользователей и компьютеров в частной сети или в Интернете. Компоненты PKI включают в себя специальные серверы, называемые центрами сертификации, политики, определяющие, как центры сертификации выдают, управляют и отзывают сертификаты и хранят ключи, цифровые сертификаты и их ключи, а также приложения, которые могут использовать PKI.
Это только базовый обзор того, как работает стандартная PKI. В корпоративной сети с несколькими ЦС инфраструктура может быть сложной, с несколькими уровнями в иерархии ЦС и различными ЦС, специализирующимися на выдаче определенных типов сертификатов. Подробный список общедоступных PKI см. на странице PKI по адресу http://www.pki-page.org/. Более подробную информацию об PKI Windows 2000 см. в разделе Инфраструктура открытых ключей в Windows 2000 по адресу http://www.windowsitpro.com/Articles/Index.cfm?ArticleID=4691.